Защита банкомата от киберпреступников ATM Security Training Moscow June 2011 Михаил Калиниченко, Генеральный директор SafenSoft

О компании SafenSoft Основана в 2006 году, на базе подразделения проактивных систем защиты компании StarForce Опытная команда руководителей Опыт управления в McAffee, Kaspersky Lab, Trend Micro, Symantec Член PCI Security Council (Совет по разработке стандартов безопасности индустрии платежных карт) Соавтор рекомендаций ATMIA (Aссоциация индустрии банкоматов) Защита внедряется в ряде крупных банков России и США

Статистика и тенденции распространения вредоносного ПО Рост количества вредоносного ПО Январь 2007: Декабрь 2009: > Тенденция – переход от массовых угроз к уникальным На сегодня ~50% угроз не могут быть своевременно блокированы с помощью сигнатур

Статистика и тенденции распространения вредоносного ПО Рост количества сигнатур в базах антивирусов

Переход от закрытой архитектуры банкоматов к открытой Использование открытой архитектуры (Windows OS, TCP/IP, мультивендорное ПО, Интернет-технологии) делает банкоматы уязвимыми перед новыми и многочисленными внешними и внутренними угрозами.

Достаточна минимальная адаптация вредоносного кода

Сложно ли злоумышленникам купить банкомат и комплектующие?

Примеры атак на POS-терминалы и банкоматы в мире Март - октябрь с помощью внедрения вредоносного ПО в банкоматы Bank of America были похищены $ ; суммарные убытки банка $ В мае 2011 сотрудник банка приговорен к 27 месяцам тюрьмы. Ноябрь атака на банкоматы в Хошимине, Вьетнам. В банкоматах был обнаружен вирус, который прерывал транзакции – атаки на POS-терминалы с использованием вредоносного кода: Казино в Лас- Вегасе, сети ресторанов во Флориде и Мичигане, сеть отелей в Нью-Йорке и др.

Примеры атак на POS-терминалы и банкоматы в России Март обнаружен троян, похищавший информацию на банкоматах Diebold нескольких российских банков Декабрь утечка данных через систему банкометов Альфа-Банка, заблокированы 7000 банковских карт Декабрь атака на банкоматы Якутска Март обнаружен троян в терминалах Qiwi

Демонстрация уязвимостей банкоматов на конференции BlackHat "Every ATM I've looked at, I've been able to find a flaw in. It's a scary thing." Barnaby Jack

Для банкомата Triton Использовал ключ к дверце банкомата, купленный на интернет аукционе за $10 Подключил флешку с модифицированной прошивкой Windows CE, перезагрузился с флешки Демонстрация уязвимостей банкоматов на конференции BlackHat

Для банкомата Tranax Использовал уязвимость удаленного доступа Загрузил модифицированную прошивку и перезагрузил Демонстрация уязвимостей банкоматов на конференции BlackHat

Конференция ассоциации ATM индустрии (ATMIA) Конференция ATMIA – единственное мероприятие подобного рода, участие в конференции принимают производители и поставщики банковского оборудования, профессионалы в области информационной безопасности.

Защита от вредоносного ПО: уроки Black Hat Выводы: нельзя рассматривать индустрию ATM (банкоматы, платежные терминалы) отдельно от корпоративной сети.

Рекомендации ATMIA по защите банкоматов Рекомендуемые ATMIA процедуры для соответствия PCI DSS Отключить неиспользуемые сервисы и сохранить целостность ОС. Разработать или установить сторонние приложения для сохранения целостности системы с целью предотвращения внедрения вредоносного кода.

Рекомендации ATMIA по защите банкоматов Средства защиты от вредоносного кода – область непрерывного развития стандартов. Требование 5 PCI DSS говорит про антивирус, но возможно гораздо надёжнее контролировать, изолировать и защитить банкомат. Альтернатива – cистема предотвращения вторжений (HIPS).

Использование HIPS помогает соответствовать требованиям PCI DSS Требование 1. Контроль целостности, предотвращение несанкционированного изменения настроек межсетевого экрана. Требование 2. Active Directory для централизованного управления политиками безопасности и защиты административного доступа. Требование 3. Контроль доступа всех процессов к объектам файловой системы. Требование 5. Проактивая защита от любого вредоносного ПО, включая угрозы нулевого дня. А также, защита от инсайдерских атак - несанкционированных действий легитимного ПО. Регулярные обновления системы защиты не требуются. Требование 6. Предотвращение использования уязвимостей, благодаря контролю целостности. Установка обновлений может быть отложена во времени без ущерба безопасности.

Защита банкоматов и POS-терминалов с помощью SafenSoft TPSecure Автоматическое профилирование системы, создание "базы" доверенных приложений. Все неизвестные процессы могут быть заблокированы или запущены в ограниченной среде Контроль запуска и активности приложений, защита от угроз «нулевого дня» и целевых хакерских атак без необходимости обновлений Автоматически распознает обновления доверенных приложений Возможность настройки пользовательских правил на доступ приложений к файловой системе, реестру, внешним устройствам Мониторинг, логирование и централизованные уведомления при попытке нарушения политики контроля помогают выполнить требования 10, 11 и 12 PCI DSS.

Защита специализированного ПО от модификаций Контроль целостности приложения - контроль изменений программного кода гарантирует блокировку запуска приложения в случае изменения его исполняемого кода Защита исполняемого кода приложения - предотвращает изменение исполняемых модулей приложения другими приложениями Защита данных приложения - запрет чтения/изменения локальных файлов и ключей реестра сторонними приложениями Защита банкоматов и POS-терминалов с помощью SafenSoft TPSecure

Спасибо за внимание!